Til innhold
JavaScript deaktivert !
Du må aktivere JavaScript for at denne nettsiden skal fungere riktig.
English
Aktuelt
Ledige stillinger
Kontakt
Varsle NSM om hendelser
Gå til forsiden
Meny
Søk
Fagområder
Digital sikkerhet
Personellsikkerhet
Fysisk sikkerhet
Sikkerhetsstyring
Kurs og konferanser
NSM kurssenter
Sikkerhetskonferansen
Foredrag fra NSM
Oversikt over alle kurs og arrangementer
Regelverk og hjelp
Sikkerhetsloven og forskrifter
Veiledere og håndbøker til sikkerhetsloven
Råd og anbefalinger
Rapporter
Andre publikasjoner
Skjemaer
NSMs grunnprinsipper
Tjenester
Karttjeneste forbudsområder for luftbårne sensorsystemer
Varslingssystem (VDI)
Allvis NOR
Inntrengingstjenester
SERTIT
Om NSM
Ledelse
Presse
Dette er NSM
Ledige stillinger
Historien om NSM
Årsrapport
Kontakt oss
Varsling av kritikkverdige forhold i NSM
Hold deg oppdatert
Aktuelt
Meninger
Podcaster
Sårbarhetsvarsler
Mediebrief
Regelverk og hjelp
Råd og anbefalinger
Grunnprinsipper for IKT-sikkerhet 2.0
Grunnleggende nasjonale funksjoner (GNF)
Råd for systemteknisk sikkerhet
NSM Cryptographic recommendations
Grunnleggende tiltak for sikring av e-post
Grunnleggende tiltak for forebygging av DDoS
Sikring av Network Time Protocol (NTP)
Veiledning i DNS-filtrering
Sikring av kommunikasjon med TLS
Hypertext Transport Protocol Secure
Brukerautentisering mot nettsteder
Sikkerhetsfaglige anbefalinger ved tjenesteutsetting
Ofte stilte spørsmål om sky og tjenesteutsetting
Grunnprinsipper for personellsikkerhet
Grunnprinsipper for sikkerhetsstyring
Grunnprinsipper for fysisk sikkerhet
Anbefaling om landvurdering ved tjenesteutsetting
Høreapparater i graderte møter
Innhold i forhåndsvarsel om virksomheten
Innhold i vedtaksbrev til virksomheten
NATOs sikkerhetsregelverk
Håndtering av sikkerhetstruende økonomisk virksomhet
Aktuelt
Ledige stillinger
Kontakt
Varsle NSM om hendelser
English
Forsiden
Regelverk og hjelp
Råd og anbefalinger
Onepager bruk av høreapparater i graderte møterom
Regelverk og hjelp
Sikkerhetsloven og forskrifter
Veiledere og håndbøker til sikkerhetsloven
Veileder i søknad og vedtak om adgangsklarering
Om denne veilederen
Innledning
Bakgrunn og formål
Oppbygning, avgrensning og forhold til annet veiledningsmateriale
Begreper og formuleringer
Om adgangsklarering
Virksomhetens rolle
Virksomhetens vurdering av adgangsklarering
Virksomhetens søknad om krav om adgangsklarering
Departmentets rolle
Departementets vurdering
Vedtaksbrevets utforming og innhold
Etter at krav om adgangsklarering er fattet
Unntaksbestemmelser for krav om adgangsklarering
Overgangsregler i forbindelse med overgang til nytt lovverk
Vedlegg
Veileder i departementenes identifisering av grunnleggende nasjonale funksjoner
Om denne veilederen
Tema for veilederen
Innledning
Hovedprosess og oversikt over veiledere og håndbøker
Grunnleggende nasjonale funksjoner
Virksomheter
GNF og samfunnets kritiske funksjoner
Metode for identifisering av GNF og virksomheter
Kartlegg ansvarsområder mot nasjonale sikkerhetsinteresser (steg 1)
Nasjonale sikkerhetsinteresser
Kriterium: Betydning for statens evne (steg 2)
Avgrensninger og grenseverdier for kapasitet / kvalitet / varighet
Departementets GNF – beskrivelse og avgrensning (steg 3)
GNF oppløsningsnivå
Ivaretar én virksomhet funksjonen? (steg 4)
Konkretisering av funksjon til underfunksjoner (steg 5)
Hierarkisk nedbrytning
Fatte vedtak etter §1-3 dersom virksomheten ikke er omfattet av sikkerhetsloven (steg 6)
Virksomheten gjennomfører skadevurdering (steg 7)
Klassifisering av objekt / infrastruktur (steg 8)
Risikovurdering, avhengigheter og departementenes oversikt (steg 9)
Vedlegg
Presisering av nasjonale sikkerhetsinteresser
Veileder i personellsikkerhet
Om denne veilederen
Innledning
Sikkerhetslovens kapittel 8
§ 8-1 Krav om sikkerhetsklarering, adgangsklarering og autorisasjon
§ 8-2 Sikkerhetsklarering
§ 8-3 Adgangsklarering
§ 8-4 Avgjørelse om klarering
§ 8-5 Gjennomføring av personkontroll
§ 8-6 Bruk av vilkår ved klarering
§ 8-7 Klarering av personer med utenlandsk statsborgerskap
§ 8-8 Tilbakekallelse, nedsettelse eller suspensjon av klarering
§ 8-9 Autorisasjon
§ 8-10 Nedsettelse, suspensjon eller tilbakekallelse av autorisasjon
§ 8-11 Varslingsplikt om forhold som kan påvirke sikkerhetsmessig skikkethet
§ 8-12 Utlevering av informasjon til Politiets sikkerhetstjeneste
§ 8-13 Begrunnelse for og melding om avgjørelse i klareringssaker
§ 8-14 Innsyn i klareringssaker
§ 8-15 Oversendelse til særskilt oppnevnt advokat
§ 8-16 Klareringsmyndigheter og sentralt register for klareringsavgjørelser
§ 8-17 Klage på avgjørelse om klarering
Virksomhetsikkerhetsforskriften
§ 7 Ressurser og kompetanse
§ 60 Behovet for bruk av adgangsklarering
§ 67 Vilkår for å gi autorisasjon
§ 68 Autorisasjonssamtale
§ 69 Autorisasjon av autorisasjonsansvarlig og personell hos leverandøren
§ 70 Autorisasjon av utenlandske statsborgere
§ 71 Tilgang uten autorisasjon
§ 72 Oversikt over personell med autorisasjon
§ 73 Dokumentasjon på autorisasjon
§ 74 Nedsettelse, suspensjon og tilbakekallelse av autorisasjon
§ 75 Begrunnelse og dokumentasjon ved forespørsel om klarering
§76 Merking av personkontrollopplysninger for klarering og autorisasjon
§ 77 Beskyttelse av personkontrollopplysninger for klarering og autorisasjon
§ 78 Bevaring og kassasjon av opplysninger i saker om autorisasjon og klarering
Forskrift om sikkerhetsklarering og annen klarering
§ 1 Klareringsmyndighet
§ 2 Definisjoner
§ 3 Hvem som kan be om klarering
§ 4 Kontroll og avvisning av en forespørsel om personkontroll
§ 5 Hvilke personer som inngår i personkontrollen
§ 6 Sikkerhetsklarering – krav til egenopplysninger
§ 7 Adgangsklarering – krav til egenopplysninger
§ 8 Registeropplysninger til personkontrollen ved sikkerhetsklarering
§ 9 Registeropplysninger til personkontrollen ved adgangsklarering
§ 10 Innhenting av personkontrollopplysninger fra andre stater
§ 11 Behandlingsansvarliges plikter ved utlevering av opplysninger
§ 12 Utlevering og bruk av opplysninger mellom Nasjonal sikkerhetsmyndighet, politiet og Politiets sikkerhetstjeneste
§ 12 Utlevering og bruk av opplysninger mellom NSM, politiet og PST
§ 13 Vurdering av personkontrollopplysninger
§ 14 Personer med tjeneste i utlandet for den norske stat og deres nærstående
§ 15 Når et departement kan fatte vedtak om adgangsklarering og utvidet adgangsklarering
§ 16 Forholdet mellom adgangsklarering og sikkerhetsklarering
§ 17 Vurderingsgrunnlaget for adgangsklarering
§ 18 Grunnlaget for vurdering av tilknytning og sikkerhetsmessig betydning
§ 19 Sikkerhetssamtale
§ 20 Betydningen av forhold som er vurdert ved en tidligere klareringsavgjørelse
§ 21 Vurdering av om lavere klareringsnivå kan gis og bruk av vilkår
§ 22 Karantenetid før ny klareringsvurdering
§ 23 Melding om klareringsavgjørelse
§ 24 Innsyn i opplysninger fra PST, politiet og opptak av egen sikkerhetssamtale
§ 25 Oppnevning av advokater etter sikkerhetsloven § 8-15
§ 26 Gyldighetstid for sikkerhetsklarering og adgangsklarering
§ 27 Unntak fra krav om klarering
§ 28 Registre over avgjørelser om personklarering
§ 29 Utlevering av opplysninger om klarering og fra personkontroll til andre staters myndigheter
§ 30 Bevaring, kassasjon og avlevering av dokumenter i klareringssaker
§ 31 Dekning av kostnader ved klarering
Særbestemmelse for domstolene
§ 41 Klareringsmyndighet og autorisasjonsansvarlig i domstolene
§ 42 Utpeking av domstoler for enkeltstående rettergangsskritt i straffesaker
§ 43 Anvendelse av sikkerhetsloven § 3-1, § 3-4 og § 3-6
Veileder i sikkerhetsstyring
Om denne veilederen
Sikkerhetsstyring
Krav om sikkerhetsstyring
Risikostyring
Krav om risikovurderinger
Scenarioer
Aktører
Tilhørighet
Kapasitet (eller evne)
Intensjon (eller vilje)
Krav om risikohåndtering
Tiltaksvurdering for å oppnå forsvarlig sikkerhet
Vurdering av tiltak for å beskytte skjermingsverdig objekt eller infrastruktur
Avhengigheter
Sikkerhetsledelse
Ressurser og kompetanse
Sikkerhetsorganisering
Krav om sikkerhetsorganisering
Roller i det forebyggende sikkerhetsarbeidet
Taushetsplikt
Sikkerhet ved fratredelse
Sikkerhetstiltak
Krav om sikkerhetstiltak
Beredskap
Prinsipper for valg av sikkerhetstiltak
Forholdet til andre virksomheter
Krav knyttet til forholdet til andre virksomheter
Sikkerhetsoppfølging
Krav om sikkerhetsoppfølging
Håndtering av uønskede hendelser
Årlig evaluering
Ledelsens gjennomgang
Sikkerhetsdokumentasjon
Krav om sikkerhetsdokumentasjon
Beskyttelse av sikkerhetsdokumentasjon
Veileder i fysisk sikkerhet
Om denne veilederen
Innledning
Målgruppe
Formål
Avgrensning
Veiledning til bestemmelser om fysisk sikkerhet
Generelt om sikkerhetstiltak (§ 14)
Prinsipper ved valg og utforming av sikkerhetstiltak (§ 15)
Krav om bruk av evaluerte produkter og tjenester (§ 16)
Sertifisering av produkter og tjenester (§ 17)
Forsvarlig sikkerhetsnivå for skjermingsverdig informasjon (§ 22)
Forsvarlig sikkerhetsnivå for informasjon gradert KONFIDENSIELT eller høyere (§ 34)
Soneinndeling (§ 38)
Kontrollert sone (§ 39)
Beskyttet sone (§ 40)
Sperret sone (§ 41)
Fysisk sikring av skjermingsverdige informasjonssystemer (§ 49)
Fysisk sikring av klassifiserte objekt og infrastruktur (§ 58)
Eksempel på valg av fysiske sikkerhetstiltak
Veileder i håndtering og beskyttelse av sikkerhetsgradert informasjon
Om denne veilederen
Innledning
Merking av sikkerhetsgradert informasjon
Soneinndeling og oppbevaring av dokumenter og lagringsmedia
Soneinndeling
Oppbevaring
Behandling av dokumenter og lagringsmedier med sikkerhetsgradert informasjon
Behandling av BEGRENSET
Behandling av KONFIDENSIELT og høyere
Risikovurdering tilknyttet behandling og oppbevaring av gradert informasjon utenfor beskyttet eller sperret sone
Forsendelse – med og uten bruk av kurér
Elektronisk overføring og fysisk forsendelse
Kurértransport
Kurérsertifikat
Transportplan
Kvittering for mottak
Hvem kan være kurér – innenlands
Hvem kan være kurér – utenlands
Krav til oversikt over dokumenter og lagringsmedier
Destruksjon av dokument eller lagringsmedium
Rapportering av informasjon gradert STRENGT HEMMELIG
Utlevering av sikkerhetsgradert informasjon til fremmede stater og internasjonale organisasjoner (§§25-26)
Referanser
Vedlegg
Håndbok i beskyttelse av skjermingsverdig ugradert informasjonssystem
Om denne håndboken
Introduksjon og målgruppe
Hvorfor er temaet viktig
Oppbygging og innhold
Generelle krav til forebyggende sikkerhetsarbeid
Beskyttelse av skjermingsverdig informasjon
Informasjonssystemsikkerhet
Vurdér risiko
Forholdet til andre virksomheter
Tjenesteutsetting
Sikkerhet i anskaffelser
Håndtere risiko
Sikker IKT-infrastruktur
Eksisterende informasjonssystemer
Informasjonssystemer under etablering
Bruk av evaluerte produkter og tjenester
Kryptering
Testing
Systemdokumentasjon
Sikker drift og hendelseshåndtering
Roller, ansvar og kompetanse
Tilgangsstyring
Logging
Varslingssystemet for digital infrastruktur (VDI)
Håndtere hendelser
Identifisere sårbarheter
Gjennomføre beredskapsøvelser
Godkjenning
Objekt- og infrastruktursikkerhet
Personellsikkerhet
Veileder for godkjenning av informasjonssystem
Om denne veilederen
Sikkerhetsgodkjenning
Krav om sikkerhetsgodkjenning
Skjermingsverdige informasjonssystemer
Sikkerhetsgodkjenning ved sammenkobling
Godkjenningsmyndighet
Sikkerhetsgodkjenningens varighet
Midlertidig brukstillatelse
Fakturering
Grunnlag for sikkerhetsgodkjenning
Krav om forsvarlig sikkerhetsnivå
Krav til sikkerhetsgodkjenning
Funksjon og operativt miljø (systembeskrivelse)
Beskyttelsesbehov
Sikkerhetstiltak
Kontroll av sikkerhetstiltak
Evaluering av produkter og tjenester
Vedlegg
Veileder for virksomheters håndtering av uønskede hendelser
Om denne veilederen
Uønskede hendelser
Krav knyttet til hendelser og tiltak
Håndtering av uønskede hendelser
Krav om håndtering av uønskede hendelser
Deteksjon
Varsling
Umiddelbare tiltak ved uønskede hendelser
Varige tiltak for grunnsikring og påbygging
Evaluering av tiltakene
Dokumentering
Andre krav til håndtering av uønskede hendelser
Behandling av personopplysninger
Krav til behandling av personopplysninger
Undersøkelser knyttet til enkeltindivider
Referanser
Vedlegg
Veileder for tilsyn med forebyggende sikkerhetsarbeid
Om denne veilederen
Tilsyn
Tilsynsmyndigheter
Sektormyndighet med tilsynsansvar
Sikkerhetsmyndigheten
Samarbeid om tilsyn
Pålegg om gjennomføring av tilsyn
Tilsynsobjekter
Systemrevisjon
Tilsyn ved hjelp av systemrevisjon
IKT-revisjon
Tilsyn ved hjelp av IKT-revisjon
Planlegging og gjennomføring av tilsyn
Risikobasert tilsyn
Årlig tilsynsprogram
Tilsynsplan
Varsel
Gjennomføring
Rapportering
Opplysninger fra tilsyn
NSMs tilsynsmetodikk
Reaksjoner etter tilsyn
Pålegg
Tvangsmulkt
Overtredelsesgebyr
Politianmeldelse
Vedlegg A - Kriterier for forsvarlig sikkerhetsnivå
Scenarioer
Aktører
Tilhørighet
Kapasitet (eller evne)
Intensjon (eller vilje)
Tiltaksvurdering
Vurdering av tiltak for å beskytte skjermingsverdig info
Vurdering av tiltak for å beskytte skjermingsverdig objekt
Vedlegg B - Kriterier for sikkerhetsstyring
Sikkerhetsledelse
Ressurser og kompetanse
Sikkerhetsorganisering
Roller i det forebyggende sikkerhetsarbeidet
Taushetsplikt
Sikkerhet ved fratredelse
Sikkerhetstiltak og -prosedyrer
Beredskap
Prinsipper for valg av sikkerhetstiltak- og prosedyrer
Forholdet til andre virksomheter
Sikkerhetsoppfølging
Håndtering av uønskede hendelser
Evaluering av forebyggende sikkerhetsarbeid
Øvelser
Leders gjennomgang av forebyggende sikkerhetsarbeid
Sikkerhetsdokumentasjon
Vedlegg C - Kriterier for risikostyring
Risikostyring
Risikohåndtering
Avhengigheter
Veileder i anskaffelser etter sikkerhetsloven
Om denne veilederen
Innledning
Generelt om regler for anskaffelser
Leveranser sett i sammenheng
Sikkerhetsgraderte anskaffelser
Sikkerhetsavtale
Leverandørklarering
Krav om leverandørklarering
Forespørsel om leverandørklarering
Internasjonale sikkerhetsgraderte anskaffelser
Kontroll av om leverandøren oppfyller sikkerhetskravene
Tilbakekall av leverandørklarering
Oversikt over sikkerhetsgraderte anskaffelser
Ugraderte anskaffelser til skjermingsverdige verdier
Felles regler for anskaffelser etter sikkerhetsloven
Varslingsplikt ved «ikke ubetydelig risiko»
Plikten til å vurdere risiko
Bruk av underleverandører
Risikoreduserende tiltak
Krav til varsel etter § 9-4
Oppdragsgivers oppfølging av leverandør
Tilsyn
Veileder i verdivurdering av informasjon
Om denne veilederen
Innledning
Skjermingsverdig informasjon
Sikkerhetsgradert informasjon
Sikkerhetsgradering
Skadefølger
Sikkerhetsgraden STRENGT HEMMELIG
Sikkerhetsgraden HEMMELIG
Sikkerhetsgraden KONFIDENSIELT
Sikkerhetsgraden BEGRENSET
Tidspunkt for avgradering
Omgradering
Punktgradering og sammenstilling
Punktgradering
Sammenstilling
Verdivurdering ved innkjøp eller anskaffelser
Håndbok i verdivurdering av informasjon
Om denne håndboken
Tema for håndbok
Formål
Virksomhetens rolle
Fremgangsmåte
Før verdivurderingen
Verdivurderingsprosessen
Beskyttelse av sikkerhetsgradert informasjon
Referanser
Håndbok i skadevurdering
Om denne håndboken
Tema for håndbok
Bakgrunn og formål
Omfang
Skadevurderingens plass i forebyggende sikkerhetsarbeid
Fremgangsmåte for skadevurdering
Avklare virksomhetens betydning for GNF
Kartlegge objekter og infrastruktur
Skadevurdere objekter og infrastrukturer (3)
Dokumentere skadevurderingen
Andre skjermingsverdige objekter eller infrastrukturer
Referansedokumenter
Vedlegg A Objekt og infrastruktur
Vedlegg B Dokumentasjon av skadevurdering
Vedlegg C Eksempel på skadevurdering
Håndbok i autorisasjon og autorisasjonssamtale
Håndbok i kartlegging og vurdering av avhengigheter
Innledning
Krav og føringer
Avgrensninger for metoden
Prosess og metode
Steg 1 - Kartlegging av avhengigheter
Kartlegging av funksjoner
Type avhengighet
Steg 2 - Vurdering av avhengigheter
Vurdering av beskyttelse og resiliens
Vurdering av grad
Steg 3 - Rapportering av avhengigheter
Videre håndtering av avhengigheter
Vedlegg - skjema
Veileder i innsyn i klareringssaker
Håndbok i klassifisering
Om klassifisering
Klasser
Departementenes vurderingsgrunnlag
Departementenes vurdering
I hvilken grad er GNF avhengig av objektet eller infrastrukturen?
Finnes det alternativer til objektet eller infrastrukturen?
Er andre virksomheter avhengige av objektet/infrastrukturen?
Virksomhetens skadevurdering
Anbefaling til arbeidsmøte om klassifisering
Administrativt
Varsle om vedtak om utpeking og klassifisering
Fatte vedtak om utpeking og klassifisering
Holde oversikt over skjermingsverdige objekter og infrastruktur
Melde inn skjermingsverdige objekter og infrastruktur
Skjermingsverdige informasjonssystem
Veileder i bruk av sikkerhetsloven for å motvirke sikkerhetstruende investeringer og oppkjøp
Tema for veilederen
Forebyggende sikkerhet
Departementene
Virksomheter underlagt sikkerhetsloven
Nasjonal sikkerhetsmyndighet
Varslingsplikt etter sikkerhetsloven
Varslingsplikt etter § 4-5
Varslingsplikt etter § 9-4
Varslingsplikt etter § 10-1
Oppkjøpers meldeplikt
Innholdet i meldingen
Departementenes håndtering av varsler
Saksbehandling § 4-5
Saksbehandling § 9-4
Saksbehandling § 10-2
Innhente råd
Om vedtak
Hindre sikkerhetstruende virksomhet § 2-5
Anskaffelser til skjermingsverdig verdier § 9-4
Stanse eller sette vilkår for oppkjøp § 10-3
Håndbok i destruksjon av dokumenter og lagringsmedier
Veileder for godkjenning og implementering av kryptosystemer
Råd og anbefalinger
Grunnprinsipper for IKT-sikkerhet 2.0
Introduksjon
Målgruppe
Hva er NSMs grunnprinsipper for IKT-sikkerhet?
De fire kategoriene
Forholdet mellom kategori, prinsipp og tiltak
Andre relevante råd og anbefalinger
Begreper
Bruk av tjenesteutsetting og skytjenester
Identifisere og kartlegge
Kartlegg styringsstrukturer, leveranser og understøttende systemer
Kartlegg enheter og programvare
Kartlegg brukere og behov for tilgang
Beskytte og opprettholde
Ivareta sikkerhet i anskaffelses- og utviklingsprosesser
Etabler en sikker IKT-arkitektur
Ivareta en sikker konfigurasjon
Beskytt virksomhetens nettverk
Kontroller dataflyt
Ha kontroll på identiteter og tilganger
Beskytt data i ro og i transitt
Beskytt e-post og nettleser
Etabler evne til gjenoppretting av data
Integrer sikkerhet i prosess for endringshåndtering
Oppdage
Oppdag og fjern kjente sårbarheter og trusler
Etabler sikkerhetsovervåkning
Analyser data fra sikkerhetsovervåkning
Gjennomfør inntrengningstester
Håndtere og gjenopprette
Forbered virksomheten på håndtering av hendelser
Vurder og klassifiser hendelser
Kontroller og håndter hendelser
Evaluer og lær av hendelser
Støtteprodukter
Eldre versjoner
Grunnleggende nasjonale funksjoner (GNF)
Nasjonale sikkerhetsinteresser
Grunnleggende nasjonale funksjoner
Oversikt over innmeldte grunnleggende nasjonale funksjoner
Virksomheter av vesentlig og avgjørende betydning
Skadevurdering
Klassifisering av objekt og infrastruktur
Risikostyring
Kartlegging og vurdering av avhengigheter
Råd for systemteknisk sikkerhet
NSM Cryptographic recommendations
Grunnleggende tiltak for sikring av e-post
Grunnleggende tiltak for forebygging av DDoS
Sikring av Network Time Protocol (NTP)
Veiledning i DNS-filtrering
Sikring av kommunikasjon med TLS
Hypertext Transport Protocol Secure
Brukerautentisering mot nettsteder
Sikkerhetsfaglige anbefalinger ved tjenesteutsetting
Introduksjon
Bakgrunn
Sikkerhetsfaglige anbefalinger ved tjenesteutsetting
God bestillerkompetanse
Oversikt og kontroll på hele livsløpet
Gode risikovurderinger for å kunne ta riktig beslutning
Riktige og gode krav til IKT-tjenesten og til leverandør
Riktig beslutning på riktig nivå
Ofte stilte spørsmål om sky og tjenesteutsetting
Sky, tjenesteutsetting og sikkerhet
Spørsmål om sky og tjenesteutsetting
Spørsmål særskilt relatert til sikkerhetsloven
Grunnprinsipper for personellsikkerhet
Introduksjon
Identifisere og kartlegge
Foreta stillings- og oppdragsspesifikke risikovurderinger
Ha en sikkerhetsbasert tilnærming til rekruttering
Beskytte
Integrer personellsikkerhet i sikkerhetsstyringen
Reduser risisko under ansattelsesforhold
Innfør et effektiv rapporteringssystem
Legg til rette for sårbarhetsoppfølging
Etabler rutiner for hendelseshåndtering
Opprettholde og oppdage
Skape en god sikkerhetskultur
Ivareta medarbeidere gjennom tilpasset oppfølging
Følg opp medarbeidere med identifiserte sårbarheter
Avdekk nye personellsikkerhetsmessige sårbarheter
Avklar årsaken til endringer i medarbeidernes atferd
Ivareta sikkerheten ved avvikling av arbeidsforhold
Håndtere og gjenopprette
Håndter hendelser proporsjonalt
Begrens skadene så raskt og så mye som mulig
Ivareta medarbeiderne også under hendelseshåndtering
Evaluer hendelser og håndteringen av dem
Lær av erfaringer og implementer endringer
Grunnprinsipper for sikkerhetsstyring
Introduksjon
Identifisere og kartlegge
Kartlegg interne og eksterne krav
Identifisere verdiene
Identifiser trusler
Avdekk sårbarheter
Utarbeid scenario
Kartlegg avhengigheter
Gjennomfør konsekvensvurdering
Beskytte og opprettholde
Håndter identifisert risiko
Etabler sikkerhetsorganisasjon
Etabler styringssystem for sikkerhet
Gjennomfør jevnlige øvelser, trening og opplæring
Oppdage
Kontroller sikkerhetstilstand jevnlig
Gjennomfør ledelsens gjennomgang
Håndtere og gjenopprette
Håndter hendelser
Evaluer og lær av hendelser
Grunnprinsipper for fysisk sikkerhet
Introduksjon
Identifisere og kartlegge
Kartlegg virksomhetens verdier
Kjenn til trusselbildet
Kartlegg virksomhetens sårbarheter
Utfør en risikovurdering
Kartlegg utforming av sikkerhetstiltak
Planlegge og prosjektere
Beskytte
Balansert sikring
Sikkerhetspreg
Barrierer
Deteksjon
Håndtere
Helhetlig sikring
Elektroniske
Menneskelige
Organisatoriske
Utføre øvelser
Opprettholde og oppdage
Vedlikeholde
Kontrollere de fysiske sikkerhetstiltakene
Opprettholde gode endringsrutiner
Håndtere og gjenopprette
Håndtere hendelser
Gjenopprette sikkerhetsnivå
Evaluere hendelsen
Lær av erfaringer og implementer forbedringer
Anbefaling om landvurdering ved tjenesteutsetting
Bakgrunn
Landvurderinger bør være en del av risikovurderingen ved tjenesteutsetting
Anbefalte vurderingskriterier
Statlige styringsindikatorer
Cybersikkerhetstilstanden
IKT-infrastruktur og kompetanse
Forretningsstabilitet
Vektlegging av indikatorer
Høreapparater i graderte møter
Del 1 – Høreapparatet som avlyttingsenhet
Del 2 – Trådløse grensesnitt
Del 3 – Leveransekjeder
Del 4 – Beskyttelsestiltak
Innhold i forhåndsvarsel om virksomheten
Innhold i vedtaksbrev til virksomheten
NATOs sikkerhetsregelverk
Håndtering av sikkerhetstruende økonomisk virksomhet
Hva er sikkerhetstruende økonomisk virksomhet?
Beskytte de nasjonale sikkerhetsinteressene
Eksempel på sikkerhetstruende økonomisk virksomhet
Hvordan håndtere sikkerhetstruende økonomisk virksomhet?
Eierskapskontroll
Oppkjøpers meldeplikt
Krav til saksbehandling
Vedtak om stans eller vilkår for oppkjøp
Sikkerhetstruende virksomhet
Varslingsplikt
Krav til saksbehandling
Vedtak om å hindre sikkerhetstruende virksomhet
Kontaktpunkter
Rapporter
Risiko 2020
Forord
Risikobildet
Sårbare grunnleggende nasjonale funksjoner
Avhengigheter mellom samfunnsfunksjoner
Stabile kraftleveranser og verdikjeder
Elektronisk kommunikasjon
Satelittbaserte tjenester
Trusselaktører utnytter sårbarhetene våre
Etterretning, spionasje og påvirkning
Kartlegging gjennom fysisk og teknisk innhenting
Sammensatt virkemiddelbruk og påvirkning
Innsiderisiko
Strategiske investeringer og oppkjøp
Nettverksoperasjoner
Forstyrrelse av satellittbaserte systemer
Droner
Sårbarheter i et digitalt samfunn i rask utvikling
Åpenhetens dilemma
Din nettaktivitet påvirker virksomhetens risiko
Digitale verdikjeder og «grenseløse» avhengigheter
Skytjenester og tjenesteutsetting
Redundansutfordringer
«Smarte byer» og tingenes internett
Sikkerhetshull kan avdekkes
Informasjon og kompetanse i forebyggende sikkerhetsarbeid
Helhetlig digitalt risikobilde 2019 og tidligere
Temarapport om innsidere
Felles temarapport med Kripos: Løsepengevirus
Sikkerhetsfaglige anbefalinger ved tjenesteutsetting
Om temarapporten
Bakgrunn
Sikkerhetsfaglige anbefalinger for tjenesteutsetting
Oversikt og kontroll på hele livsløpet
God bestillerkompetanse
Gode risikovurderinger for å kunne ta riktig beslutning
Riktige og gode krav til IKT-tjenesten og til leverandør
Riktig beslutning på riktig nivå
Risikorapporter fra 2019 og tidligere
Helhetlig digitalt risikobilde 2020
Sammendrag
Det digitale risikobildet
COVID-19 forsterker digitale sårbarheter
Digitale verdikjeder og avhengigheter
Nasjonalt cybersikkerhetssenter - en del av NSM
Utvikling og trender innen digitale hendelser – hva rammer norske virksomheter?
Nettverksoperasjoner
Kartleggingsvirksomhet
Skytjenester og tjenesteutsetting – muligheter og utfordringer
Viktigheten av sikkerhetsstyring og bestillerkompetanse
Behovet for nasjonal kontroll
Samfunnssikkerhet og ny teknologi
Digitalisering krever styring og gode prosesser
Lovgivning om digital sikkerhet har blitt mer fleksibel
Grunnleggende nasjonale funksjoner
Samarbeid, tiltak og regelverk over landegrenser
Statssikkerhet og personvern
Individet og digitalisering
Påvirkning og desinformasjon krever årvåkenhet av oss alle
Behov for regulering av teknologi i utvikling
Forebyggende sikkerhetsarbeid reduserer digital risiko
Tidligere utgaver av Helhetlig digitalt risikobilde
Temarapport om norske datasentre og digital autonomi
Sammendrag
Bakgrunn og hensikt
Avgrensning og målgruppe
Hva er et datasenter?
Typer av datasenter
Aktører i bransjen
Datasenterets rolle i vår nasjonale digitale infrastruktur
Datasenterets rolle i den norske beredskapen
Trusler og sårbarheter i et datasenter
Anbefaling 1: De funksjonene samfunnet er mest avhengig av bør leveres fra datasentre i Norge
Anbefaling 2: Nasjonal digital infrastruktur bør kartlegges
Anbefaling 3: Det offentlige bør spesifisere krav til sikring av datasentre
Anbefaling 4: Etablere sektoransvar og regulering for datasentre
Økt krav til lokalisering og sikker aksess
Andre publikasjoner
Rammeverk for håndtering av IKT-hendelser
Skjemaer
NSMs grunnprinsipper
Onepager bruk av høreapparater i graderte møterom
Skriv ut
Tips en venn
Del på:
Del på Facebook
Del på LinkedIn
Del på Twitter
Finner du det du leter etter?
Ja
Nei